Passa al contenuto principale

Impostazione dei criteri TPM

Per impostazione predefinita, una scheda I/O di sistema sostitutiva viene fornita con i criteri TPM impostati su Non definiti. È necessario modificare questa impostazione in modo che corrisponda a quella definita per la scheda I/O di sistema che viene sostituita.

Sono disponibili due metodi per impostare i criteri TPM:

  • Da Lenovo XClarity Provisioning Manager

    Per impostare i criteri TPM da Lenovo XClarity Provisioning Manager:

    1. Avviare il server e premere il tasto seguendo le istruzioni sullo schermo per visualizzare l'interfaccia Lenovo XClarity Provisioning Manager.

    2. Se viene richiesta la password amministratore di accensione, immetterla.

    3. Fare clic su nell'angolo superiore destro dell'interfaccia Lenovo XClarity Provisioning Manager, quindi fare clic su Aggiorna VPD.

    4. Impostare i criteri su uno dei valori seguenti.

      • NationZ TPM 2.0 abilitato - solo Cina. I clienti della Cina continentale devono utilizzare questa impostazione se è installato un adattatore NationZ TPM 2.0.

      • TPM abilitato - ROW. I clienti al di fuori della Cina continentale devono scegliere questa impostazione.

      • Disabilitati in modo permanente. I clienti della Cina continentale devono utilizzare questa impostazione se non è installato un adattatore TPM.

      Nota

      Nonostante il valore Non definiti sia disponibile come impostazione per i criteri, l'uso è sconsigliato.

  • Da Lenovo XClarity Essentials OneCLI

    Nota
    Tenere presente che un utente IPMI locale e la password devono essere configurati in Lenovo XClarity Controller per l'accesso remoto al sistema di destinazione.
    Per impostare i criteri TPM da Lenovo XClarity Essentials OneCLI:

    1. Leggere TpmTcmPolicyLock to check whether the TPM_TCM_POLICY è stato bloccato:

      OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
      Nota

      Il valore BMC.TpmTcmPolicyLock deve essere 'Disabled', che significa che TPM_TCM_POLICY non è bloccato e che sono consentite modifiche a TPM_TCM_POLICY. Se il codice restituito è 'Enabled', non sono consentite modifiche ai criteri. Il planare può ancora essere utilizzato se l'impostazione desiderata è corretta per il sistema da sostituire.

    2. Configurare TPM_TCM_POLICY in XCC:

      • Per i clienti della Cina continentale senza TPM o i clienti che richiedono la disabilitazione del TPM:

        OneCli.exe config set BMC.TpmTcmPolicy "NeitherTpmNorTcm" --override --bmc <userid>:<password>@<ip_address>

      • Per i clienti della Cina continentale che richiedono l'abilitazione del TPM:

        OneCli.exe config set BMC.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>

      • Per i clienti al di fuori della Cina continentale che richiedono l'abilitazione del TPM:

        OneCli.exe config set BMC.TpmTcmPolicy "TPMOnly" --override --bmc <userid>:<password>@<ip_address>

    3. Immettere il comando reset per reimpostare il sistema:

      OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

    4. Leggere nuovamente il valore per verificare se la modifica è stata accettata:

      OneCli.exe config show BMC.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
      Nota

      • Se il valore verificato corrisponde significa che TPM_TCM_POLICY è stato impostato correttamente.

        BMC.TpmTcmPolicy viene definito nel seguente modo:

        • Il valore 0 usa la stringa "Undefined", ovvero il criterio UNDEFINED.

        • Il valore 1 usa la stringa "NeitherTpmNorTcm", che significa TPM_PERM_DISABLED.

        • Il valore 2 usa la stringa "TPMOnly", che significa TPM_ALLOWED.

        • Il valore 5 usa la stringa "NationZTPM20Only", che significa NationZ_TPM20_ALLOWED.

      • I seguenti 4 passaggi devono essere utilizzati per "bloccare" TPM_TCM_POLICY quando si usano i comandi OneCli/ASU:

    5. Leggere TpmTcmPolicyLock to check whether the TPM_TCM_POLICY è stato bloccato:

      OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>

      Il valore deve essere 'Disabled', che significa che TPM_TCM_POLICY non è bloccato e deve essere impostato.

    6. Bloccare TPM_TCM_POLICY:

      OneCli.exe config set BMC.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>

    7. Immettere il comando reset per reimpostare il sistema:

      OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>
      Durante la reimpostazione, UEFI leggerà il valore da BMC.TpmTcmPolicyLock. Se il valore è 'Enabled' e il valore di BMC.TpmTcmPolicy è valido, UEFI bloccherà l'impostazione TPM_TCM_POLICY.
      Nota

      I valori validi per BMC.TpmTcmPolicy includono 'NeitherTpmNorTcm', 'TPMOnly' e 'NationZTPM20Only'.

      Se BMC.TpmTcmPolicyLock è impostato su 'Enabled', ma il valore BMC.TpmTcmPolicy non è valido, UEFI rifiuterà la richiesta di 'blocco' e reimposterà BMC.TpmTcmPolicyLock su 'Disabled'.

    8. Verificare il valore per controllare se il 'blocco' è stato abilitato correttamente:

      OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
      Nota
      Se il valore verificato viene modificato da 'Disabled' ad 'Enabled' significa che TPM_TCM_POLICY è stato bloccato correttamente. Non esiste un metodo per sbloccare un criterio una volta impostato, se non quello di sostituire la scheda I/O di sistema.

      BMC.TpmTcmPolicyLock viene definito nel seguente modo:

      Il valore 1 usa la stringa "Enabled", ovvero blocca il criterio. Non sono accettati altri valori.